Средний корпоративный Организация по обеспечению безопасности тратит 18 миллионов долларов в год, но в значительной степени неэффективна для предотвращения взломов, кражи IP и потери данных. Почему? Фрагментированный подход, который мы сейчас используем в Центре безопасности (SOC), не работает.
Вот краткий обзор операций по обеспечению безопасности и того, как мы достигли сегодняшнего положения: десять лет назад мы защищали наши приложения и веб-сайты, отслеживая журналы событий – цифровые записи всех действий, которые происходили в нашей киберсреде, начиная от входа в систему и заканчивая электронной почтой и настройкой. изменения. Журналы были проверены, флаги были подняты, подозрительные действия расследованы, и данные были сохранены для целей соответствия.
Управляемые безопасностью данные, хранящиеся в озере данных, могут быть в собственном формате, структурированными или неструктурированными, и, следовательно, размерными, динамическими и гетерогенными, что придает озерам данных их отличия и преимущество перед хранилищами данных.
По мере того, как злоумышленники и злоумышленники становились более активными, а их тактика, методы и процедуры (или TTP, на языке безопасности) становились все более сложными, простое ведение журнала превратилось в подход, называемый «управление информацией и событиями безопасности» (SIEM), который предполагает использование программного обеспечения для обеспечения анализа в реальном времени предупреждений безопасности, генерируемых приложениями и сетевым оборудованием. Программное обеспечение SIEM использует управляемую правилами корреляцию и аналитику, чтобы превратить необработанные данные о событиях в потенциально ценные аналитические данные.
Хотя это не было волшебной пулей (сложно реализовать и заставить все работать должным образом), возможность найти так называемую «иголку в стоге сена» и определить текущие атаки стала огромным шагом вперед.
Сегодня SIEM все еще существуют, и рынок в значительной степени возглавляют Splunk и IBM QRadar. Конечно, технология значительно продвинулась вперед, потому что постоянно появляются новые варианты использования. Многие компании, наконец, перешли на облачные развертывания и используют машинное обучение и сложную поведенческую аналитику. Однако новых корпоративных развертываний SIEM стало меньше, затраты выше и, что наиболее важно, изменились общие потребности CISO и трудолюбивой команды в SOC.
Новые требования безопасности слишком многого требуют от SIEM
Во-первых, объем данных резко увеличился а SIEM слишком узко ориентирован. Простого сбора событий безопасности уже недостаточно, потому что отверстие в этом наборе данных слишком узкое. Хотя, вероятно, существует огромный объем данных о событиях, которые необходимо захватить и обработать из ваших событий, вы упускаете огромное количество дополнительной информации, такой как OSINT (разведывательная информация с открытым исходным кодом), расходные каналы внешних угроз и ценную информацию, такую как базы данных вредоносных программ и репутации IP, а также отчеты о темной сети. Есть бесконечные источники информации, их слишком много для устаревшей архитектуры SIEM.
Вдобавок объем данных резко вырос вместе с расходами. Бурный рост объемов данных + оборудование + стоимость лицензий = рост совокупной стоимости владения. С такой большой инфраструктурой, как физической, так и виртуальной, объем собираемой информации резко увеличился. Машинно-генерируемые данные выросли в 50 раз, в то время как средний бюджет безопасности растет на 14% в годовом исчислении.
Стоимость хранения всей этой информации делает SIEM непомерно дорогостоящим. Средняя стоимость SIEM резко выросла до почти 1 миллиона долларов в год, что касается только затрат на лицензию и оборудование. Экономика вынуждает команды SOC собирать и / или сохранять меньше информации в попытке контролировать расходы. Это приводит к еще большему снижению эффективности SIEM. Недавно я разговаривал с командой SOC, которая хотела запрашивать большие наборы данных в поисках доказательств мошенничества, но выполнение этого в Splunk было дорогостоящим и медленным, трудным процессом, заставившим команду исследовать альтернативы.
Сегодняшние недостатки подхода SIEM опасны и устрашают. Недавний опрос, проведенный Ponemon Institute, опросил почти 600 руководителей ИТ-безопасности и показал, что, несмотря на то, что они тратят в среднем 18,4 миллиона долларов в год и используют в среднем 47 продуктов, колоссальные 53% руководителей ИТ-безопасности «не знали, насколько хороши их продукты. за работой.” Ясно, что пора перемен.